تعمل Google على إصلاح ما لا يقل عن 27 ثغرة أمنية في Chrome 104 وقد أسقط المتصفح واجهة برمجة التطبيقات الأصلية لدعم مفاتيح أمان المصادقة الثنائية USB.
أصدرت Google إصدار Chrome 104 الثابت مع إصلاحات لسبعة عيوب “عالية” و 15 “متوسطة” الخطورة.
أصدرت Google الإصدار 104 من Chrome لأنظمة التشغيل Windows و Mac و Linux ، مع إصلاحات لـ 27 من الأخطاء الأمنية التي أبلغت عنها جهات خارجية.
لم يتم سرد أي من العيوب على أنها مستغلة بشكل نشط ، لكن ملاحظات الإصدار لـ Chrome 104 تحتوي على بعض الإصلاحات البارزة ، وإن كانت قليلة الوصف ، للعيوب الشديدة الخطورة التي تؤثر على Chrome ‘Omnibox’ (شريط العناوين) ، الحماية الاختيارية عبر الإنترنت من Google التصفح ، وتنفيذ Dawn WebGPU في Chrome ، وميزة مشاركة قريبة تشبه Apple AirDrop من Google لمشاركة الملفات بين أجهزة Chromebook و Android.
انظر: هذه هي أكبر تهديدات الأمن السيبراني. تأكد من أنك لا تتجاهلهم
هناك أيضًا مشكلة تسرب معلومات القناة الجانبية ذات الخطورة المتوسطة والتي تؤثر على مدخلات لوحة مفاتيح Chrome ، اكتشفها إريك كرافت ومارتن شوارزل من جامعة غراتس للتكنولوجيا في النمسا. كان الباحثون من Graz TU مركزيًا في اكتشاف هجمات القناة الجانبية لـ Meltdown و Specter CPU في عام 2018.
منحت Google للباحث المجهول 15000 دولار أمريكي لمشكلة “الاستخدام بعد الإصدار المجاني” المتعلقة بالذاكرة في المربع متعدد الاستخدامات والتي تم تتبعها كـ CVE-2022-2603.
تأثر التصفح الآمن في Chrome أيضًا بالاستخدام شديد الخطورة بعد الاستخدام المجاني (CVE-2022-2604) ، ومشكلة متوسطة الخطورة ناتجة عن التحقق غير الكافي من الإدخال غير الموثوق به (CVE-2022-2622).
يستخدم Chrome والمتصفحات الرئيسية الأخرى التصفح الآمن لإظهار تحذير للمستخدمين قبل زيارة موقع ويب خطير أو تنزيل تطبيق ضار.
تم الإبلاغ عن المشكلة الشديدة الخطورة بواسطة Nan Wang و Guang Gong من 360 Alpha Lab في Qihoo 360 في 10 يونيو. أبلغ الزوج أيضًا عن استخدام شديد الخطورة بعد مجانًا في واجهة برمجة تطبيقات الأجهزة المُدارة من Chrome (CVE-2022-2606) ، وسيط. شدة الاستخدام بعد مجانًا في Chrome’s WebUI (CVE-2022-2620).
كان الخلل في ميزة المشاركة القريبة من Chrome أيضًا استخدامًا بعد عيب مجاني (CVE-2022-2609).
انظر: ما هو الأمن السيبراني بالضبط؟ ولماذا هذا مهم؟
التفاصيل حول الأخطاء شحيحة لأن Google يقيد الوصول إلى تفاصيل الأخطاء في ملاحظات الإصدار “حتى يتم تحديث غالبية المستخدمين بإصلاح”. قد يقيد أيضًا الوصول إذا كان الخطأ موجودًا في مكتبة تابعة لجهة خارجية تعتمد عليها مشاريع أخرى ، ولكن لم يتم إصلاحها بعد.
يتمثل أحد التغييرات المهمة المتعلقة بالأمان في Chrome 104 في إزالة U2F API ، وهي واجهة برمجة تطبيقات مفتاح الأمان الأصلية لمتصفح Chrome ، والتي تم استبدالها بواجهة برمجة تطبيقات مصادقة الويب (WebAuthn) الأحدث. أصبح WebAuthn معيارًا رسميًا لـ W3C في عام 2019 ، وفي ذلك الوقت تم تنفيذه بالفعل في جميع المتصفحات الرئيسية بالإضافة إلى Windows و Android.
يدعم WebAuthn مفاتيح أمان المصادقة الثنائية U2F USB ، لذلك لا تتأثر بالتغيير ، ولكن ستحتاج مواقع الويب إلى الترحيل إلى WebAuthn API. لا ينبغي أن يكون التغيير مفاجئًا لمطوري الويب حيث كانت Google تحذر من التغيير على مدار العامين الماضيين.
“لم تصبح U2F أبدًا معيارًا مفتوحًا للويب وتم تضمينها بواسطة واجهة برمجة تطبيقات مصادقة الويب (تم إطلاقها في Chrome 67). لم يدعم Chrome أبدًا واجهة برمجة تطبيقات جافا سكريبت FIDO U2F بشكل مباشر ، ولكنه شحن ملحق مكون يسمى cryptotoken … U2F و Cryptotoken ثابتان وضع الصيانة وشجعت المواقع على الترحيل إلى واجهة برمجة تطبيقات مصادقة الويب على مدار العامين الماضيين “، أوضح Google في مدونة حديثة.
قامت Google أيضًا بترقية Chrome 104 إلى قناتها المستقرة الجديدة الموسعة لنظامي التشغيل Windows و Mac.